TeamViewerシングルサインオン(SSO)は、TeamViewerをIDプロバイダーやユーザーディレクトリと関連付けることで、大企業のユーザー管理の負担を軽減することを目的としています。
この記事は、TeamViewer Enterprise/Tensor ライセンスをお持ちのお客様に適用されます。
TeamViewer シングルサインオンを使用するには、以下が必要です。
シングルサインオン(SSO)は、該当するドメインのメールアドレスを使用するすべてのTeamViewerアカウントに対して、ドメインレベルで有効化されます。有効化されると、対応するTeamViewerアカウントにサインインするすべてのユーザーは、ドメイン用に設定されたIDプロバイダに誘導されます。
セキュリティおよび悪用防止のため、この機能を有効にする前にドメインの所有権を確認する必要があります。
SSOを有効にするには、Management Console にログインし、 会社の管理を選択し、シングルサインオンメニューエントリーを選択します。ドメインの追加をクリックし、SSOを有効にするドメインを入力します。
また、IDプロバイダのメタデータを提供する必要があります。。これには3つのオプションがあります:
完了したら、続行をクリックします。
ここで、SSOから除外したいメールアドレスまたはユーザーグループを選択し、ドメインの追加をクリックします。
ドメインの追加後、カスタム識別子を生成することができます。このカスタム識別子は TeamViewer には保存されませんが、SSO の初期設定に使用されます。シングルサインオンが解除され、新しい設定が必要になるため、いかなる時点でもこれ を変更してはいけません。任意のランダムな文字列を顧客識別子として使用できます。この文字列は後でIDPの構成に必要になります。カスタム識別子を生成するには、「作成(Generate)」をクリックします。
ドメインが正常に追加された後、ドメインの所有権を確認する必要があります。
ドメイン認証が完了するまでは、シングルサインオンは有効になりません。
ドメインを検証するには、検証ページに表示されている値でドメインの新しいTXTレコードを作成してください。
📌 注意: DNSシステムのため、検証プロセスには数時間かかることがあります。
📌 注意:ドメイン管理システムによっては、入力フィールドの説明が異なる場合があります。
新しいTXTレコードを作成したら、検証開始ボタンをクリックして検証プロセスを開始します。
📌 注意:DNSシステムの関係上、認証に数時間かかることがありますのでご注意ください。
💡ヒント: TeamViewer は、検証を開始してから 24 時間、TXT 検証レコードを検索します。24時間以内にTXTレコードが見つからない場合、検証は失敗し、ステータスがそれに応じて更新されます。この場合、このダイアログから検証を再開する必要があります。
💡ヒント: 設定に応じて、OneLoginのアプリケーションにユーザーを割り当てる必要があります。
TeamViewer OneLoginアプリを使った自動設定
OneLogin管理者ダッシュボードにログインします。
TeamViewer は、バージョン13.2.1080からシングルサインオンと互換性があります。
以前のバージョンはシングルサインオンをサポートしていないため、ログイン中にユーザをIDプロバイダにリダイレクトすることはできません。クライアント設定はオプションですが、IdPのSSOログインに使用するブラウザを変更することができます。
TeamViewer クライアントは、デフォルトで ID プロバイダ認証に組み込みブラウザを使用します。オペレーティングシステムのデフォルトブラウザを使用する場合は、この動作を変更できます:
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
📌注意: レジストリを作成または変更した後、TeamViewer クライアントを再起動する必要があります。